Protocolo de API REST de Universal Cloud

El protocolo de API REST de Universal Cloud es un protocolo activo de salida para IBM® QRadar®. Puede personalizar el protocolo de la API REST de Universal Cloud para recopilar sucesos de varias API REST, incluidos los orígenes de datos que no tienen un DSM o protocolo específico.

El comportamiento del protocolo de la API REST de Universal Cloud se define mediante un documento XML de flujo de trabajo. Puede crear su propio documento XML, o puede obtenerlo de IBM Fix Central, o de terceros en GitHub.

Importante: El protocolo de la API REST de Universal Cloud está soportado en QRadar 7.3.2 o posterior, y la aplicación QRadar Log Source Management debe estar instalada. Para obtener más información sobre cómo instalar la aplicación, consulte Instalación de la aplicación QRadar Log Source Management.

Para ver ejemplos de protocolo de API REST de Universal Cloud, consulte Ejemplos deGitHub (https://github.com/ibm-security-intelligence/IBM-QRadar-Universal-Cloud-REST-API).

Sugerencia: IBM sólo da soporte a los flujos de trabajo a los que se hace referencia directamente en DSM Configuration Guide. Los flujos de trabajo en GitHub se pueden utilizar como recursos educativos pero no están soportados por IBM.

La tabla siguiente describe los parámetros específicos de protocolo para el protocolo de la API REST de Universal Cloud.

Tabla 1. Parámetros del protocolo de la API REST de Universal Cloud
Parámetro Descripción
Identificador de origen de registro

Escriba un nombre exclusivo para el origen de registro.

El Identificador de origen de registro puede ser cualquier valor válido y no es necesario que haga referencia a un servidor específico. También puede ser el mismo valor que el Nombre de origen de registro. Si tiene más de un origen de registro de API REST de Universal Cloud configurado, asegúrese de que asigna a cada uno un nombre exclusivo.
Flujo de trabajo

El documento XML que define cómo la instancia de protocolo recopila sucesos de la API de destino.

Para obtener más información, consulte Flujo de trabajo.
Valores de parámetros de flujo de trabajo

El documento XML que contiene los valores de parámetro utilizados directamente por el flujo de trabajo.

Para obtener más información, consulte Valores de parámetros de flujo de trabajo.
Permitir certificados no de confianza Si habilita este parámetro, el protocolo puede aceptar certificados autofirmados y no de confianza que se encuentran en el directorio /opt/qradar/conf/trusted_certificates/ . Si inhabilita el parámetro, el explorador sólo confía en los certificados firmados por un firmante de confianza.

Los certificados deben estar en formato binario codificado en PEM o RED y guardarse como un archivo .crt o .cert .

Si modifica el flujo de trabajo para incluir un valor codificado para el parámetro Permitir certificados no de confianza , el flujo de trabajo altera temporalmente la selección en la interfaz de usuario. Si no incluye este parámetro en el flujo de trabajo, se utiliza la selección en la interfaz de usuario.
Utilizar proxy Si se accede a la API utilizando un proxy, seleccione este recuadro de selección.

Configure los campos IP o nombre de host de proxy, Puerto de proxy, Nombre de usuario de proxy y Contraseña de proxy. Si el proxy no requiere autenticación, puede dejar en blanco los campos Nombre de usuario de proxy y Contraseña de proxy.
Recurrencia Especifique la frecuencia con la que el registro recopila datos. El valor puede estar en Minutos (M), Horas (H) o Días (D). El valor predeterminado es de 10 minutos.
Regulador de EPS

El número máximo de sucesos por segundo que QRadar ingiere.

Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS.

El valor predeterminado es de 5000.